移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

僵尸收集的工作道理与防御

时间:2013-05-22 21:54来源:TuZhiJiaMi企业信息安全专家 点击:
发源及演变过程 Botnet是跟着主动智能法度的利用而逐步成长起来的。在初期的 IRC聊天收集中,有一些办事是反复呈现的,如避免频道被滥用、治理权限、记实频道事务等一系列功能都可以由治
Tags系统安全(735)僵尸(12)网络蠕虫(1)  

  发源及演变过程

  Botnet是跟着主动智能法度的利用而逐步成长起来的。在初期的 IRC聊天收集中,有一些办事是反复呈现的,如避免频道被滥用、治理权限、记实频道事务等一系列功能都可以由治理者编写的智能法度所完成。因而在1993 年,在IRC 聊天收集中呈现了Bot东西——Eggdrop,这是第一个Bot法度,可以或许帮忙用户便利地利用IRC 聊天收集。这类bot的功能是良性的,是出于办事的目标,但是这个设计思路却为黑客所操纵,他们编写出了带有歹意的Bot 东西,开端对大年夜量的受害主机进行节制,操纵他们的资本以达到歹意方针。

  日期 Bot名称 建造者(姓名或绰号) 描述

  1993.12 Eggdrop Robey Pointer Jeff Fisher 第一个非歹意IRC 机械人法度

  1999.6 PrettyPark 匿名 第一个歹意的利用IRC 作为节制和谈的Bot

  2000 GT-Bot Sony,mSg 和DeadKode 第一个遍及传播的基于mIRC 可履行脚本的IRC Bot,

  2002.2 SDbot SD 第一个基于代码的伶仃的IRC Bot

  2002.9 Slapper 匿名 第一个利用P2P和谈通信的Bot

  2002.10 Agobot Ago 不成思议的强健、矫捷和模块化的设计

  2003.9 Sinit 匿名 利用随机扫描发现对端的P2P Bot

  2004.3 Phatbot 匿名 基于WASTE 和谈的P2P Ago

  2004 Rbot/rxbot Nils RacerX90等 SDbot的儿女,

  2004 Gaobot 匿名 第一类Bot,利用多种手段传播

  2004.5 Bobax 匿名 利用HTTP 和谈做号令和节制机制。

  20世纪90年代末,跟着漫衍式拒尽办事报复打击概念的成熟,呈现了大年夜量漫衍式拒尽办事报复打击东西如TFN、TFN2K和Trinoo,报复打击者操纵这些东西节制大年夜量的被传染主机,策动漫衍式拒尽办事报复打击。而这些被控主机从必然意义上来讲已具有了Botnet的雏形。

  1999 年,在第八届DEFCON 年会上发布的SubSeven 2.1 版开端利用IRC 和谈构建报复打击者对僵尸主机的节制信道,同样成为第一个真正意义上的bot法度。随后基于IRC和谈的bot法度的大年夜量呈现,如GTBot、Sdbot 等,使得基于IRC和谈的Botnet成为主流。

  2003 年以后,跟着蠕虫手艺的不竭成熟,bot的传播开端利用蠕虫的主动传播手艺,从而可以或许快速构建大年夜范围的Botnet。闻名的有2004年爆发的 Agobot/Gaobot 和rBot/Spybot。同年呈现的Phatbot 则在Agobot 的根本上,开端自力利用P2P 布局构建节制信道。

  2004 年5 月呈现的基于HTTP 和谈构建节制信道的Bobax。

  从良性Bot的呈现到歹意Bot的实现,从被动传播到操纵蠕虫手艺主动传播,从利用简单的IRC和谈构成节制信道到构建复杂多变P2P布局的节制模式,再到基于HTTP及DNS的节制模式,Botnet逐步成长陈范围复杂年夜、功能多样、不容易检测的歹意收集,给当前的收集安然带来了不容忽视的威胁。

  定义

  僵尸收集是在收集蠕虫、特洛伊木马、后门东西等传统歹意代码形态的根本上成长、畅通领悟而产生的一种新型报复打击编制。从1999 年第一个具有僵尸收集特点的歹意代码PrettyPark 现身互联网,到2002 年因SDbot 和Agobot 源码的发布和遍及传播,僵尸收集快速地成了互联网的严重安然威胁。第一线的反病毒厂商一向没有给出僵尸法度(bot)和僵尸收集的正肯定义,而仍将其回进收集蠕虫或后门东西的范围。从2003 年前后,学术界开端存眷这一新兴的安然威胁,为辨别僵尸法度、僵尸收集与传统歹意代码形态,Puri及McCarty均定义“僵尸法度为连接报复打击者所节制IRC 信道的客户端法度,而僵尸收集是由这些受控僵尸法度经由过程IRC 和谈所构成的收集”。为适应以后呈现的利用HTTP 或P2P 和谈构建号令与节制信道的僵尸收集,Bacher 等人给出了一个更具通用性的定义:僵尸收集是可被报复打击者长途节制的被攻下主机所构成的收集。僵尸收集与其他报复打击编制最大年夜的辨别特点在于报复打击者和僵尸法度之间存在一对多的节制关系。Rajab 等人在文献中也指出,当然僵尸收集利用了其他形态歹意代码所操纵的编制进行传播,如长途报复打击软件缝隙、社会工程学编制等,但其定义特点在于对节制与号令通道的利用。

  综合上述阐发,僵尸收集是节制者(称为Botmaster)出于歹意目标,传播僵尸法度节制大年夜量主机,并经由过程一对多的号令与节制信道所构成的收集。

------分隔线----------------------------

推荐内容